Matthias Scharwies: SELF-Blog: Die DSGVO in der Praxis umsetzen

Servus!

Im SELF-Blog haben wir neu einen Gastbeitrag von @Karl Heinz, der sich mit den Auswirkungen der DSGVO auf Online-Händler und KMU befasst, die Google AdWords und Google Analytics verwenden (Im Forum hier besprochen):

Vielen Dank an Karl Heinz für seinen interessanten Artikel!

BTW: Der Hinweis "keine Rechtsberatung" wird noch an das Wiki-Design angepasst!

Herzliche Grüße

Matthias Scharwies

--
Es gibt viel zu tun: ToDo-Liste
  1. hallo

    Wow, das ist aber ein langer Artikel. Zu dem könnte man ein eigenes Forum eröffnen.

    Dass ich mch jetzt auf einen Punkt stürze, soll nicht als Kritik betrachtet werden.

    2.1. Das Recht auf Vergessenwerden

    Werden personenbezogene Daten gespeichert, so hat ein jeder das Recht, dass seine persönlichen Daten auf Anfrage entfernt werden. Es müssen Maßnahmen ergriffen werden, damit die Löschung von personenbezogen Daten auf Anfrage möglich ist. Online-Shop Systeme z.B. bieten die Möglichkeit, das Kundenkonto zu löschen oder zu editieren.

    Wir wollen erstmal klar anmerken, dass es Gründe gibt, dass man ein Konto weder löschen muss noch darf. Daten darf man nur dort löschen, wo sie obsolet wurden. Bei Abos zum Beispiel erst nach Ablauf der Vertragsfrist oder speziellen Garantieleistungen.

    Nun möchte ich aber fragen, wie soll ein solches Recht überhaupt implementiert werden.

    Erst mal muss ja jemand recherchieren können, ob Daten gespeichert wurden, was im Sinne des Persönlichkeitsschutzes höchst bedenklich ist. Das darf er meines Erachtens nur innerhalb seines Accounts tun, und damit gehts darum, die Daten mindestens für diesen User sichtbar zu machen.

    In diesem Forum gibt es Daten, die meine Person betreffen, ja direkt auf sie bezogen sind. Aber die Automatik sieht nicht vor, dass die Inhalte nachträglich geändert, geschweige denn gelöscht werden. Es ist jetzt auch nicht anzunehmen, dass deshalb Foren plötzlich illegal werden.

    Das Maximum, was man tun kann, ist einem legitimen User die Datenänderung zu erlauben, wo das möglich ist.

    Ich bin ja gespannt, wer wie wo überhaupt ein solches Recht umsetzt. Ich weiss aber jetzt schon, dass der BND dies nicht tun wird.

    Statt jetzt über dieses Recht zu streiten möchte ich einfach noch die Tugend der Datenminimierung erwähnen. Sofern man nicht in eine kommerzielle Beziehung tritt, stelt sich die Frage, ob man nicht die Anonymisierung der Nutzung fördern will.

    Das wiederum kann andere Probleme verursachen. Der Paragraphendrache hat ja viele Köpfe.

    --
    Neu im Forum! Signaturen kann man ausblenden!
    1. Servus!

      hallo

      Wow, das ist aber ein langer Artikel. Zu dem könnte man ein eigenes Forum eröffnen.

      Dass ich mch jetzt auf einen Punkt stürze, soll nicht als Kritik betrachtet werden. …

      Das könnte man ja auch zu einem eigenen Artikel ausbauen! Teil einer Serie?

      Herzliche Grüße

      Matthias Scharwies

      --
      Es gibt viel zu tun: ToDo-Liste
    2. Hello,

      ähnliches ging mit auch durch den Kopf.

      Kundendaten dürfen nach buchhalterischen und fiskalischen Grundsätzen gar nicht vernichtet werden, sondern müssen mWn 7, 10 oder sogar 30 Jahre aufbewahrt werden, je nach Hintergrund.

      Und es wurde schon bei Einführung der Robinsonliste immer wieder diskutiert, die älter als das heutige "Internet" ist, dass die Kontaktdaten des jeweiligen Aspiranten aus logischer Sicht nicht gelöscht werden können, sondern stattdessen als gesperrt markiert werden müssen.

      Dass sich die Presseverlage und Lettershops trotzdem selten an die freiwillige Selbstverpflichtung gehalten haben, hat damals selten einen Richter interessiert. Man musste selsbt bei heftigen Verstößen auch beim Gericht recht massiv werden, damit der Spam (per Snail) aufhörte.

      Die DSVGO wird meiner Einschätzung nach wieder nur die Kleinen killen, die Großen machen weiterhin was sie wollen und haben damit erreicht, was sie wollten: die "Liquidierung" ihrer nachwachsenden Konkurrenten und den nächsten Schritt zur "Weltherrschaft".

      Liebe Grüße
      Tom S.

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. Hallo TS,

        ähnliches ging mit auch durch den Kopf.

        mir auch.

        Kundendaten dürfen nach buchhalterischen und fiskalischen Grundsätzen gar nicht vernichtet werden, sondern müssen mWn 7, 10 oder sogar 30 Jahre aufbewahrt werden, je nach Hintergrund.

        Ja. Und dann noch die Frage, darf ich meinem Steuerbüro überhaupt die Daten geben ohne das vorher auch wieder explizit zu deklarieren?

        Die DSVGO wird meiner Einschätzung nach wieder nur die Kleinen killen, die Großen machen weiterhin was sie wollen und haben damit erreicht, was sie wollten: die "Liquidierung" ihrer nachwachsenden Konkurrenten und den nächsten Schritt zur "Weltherrschaft".

        Für eine Verschwörung halte ich das zwar auch aber von anderer Seite.

        Gruss
        Henry

        1. Hello,

          Ja. Und dann noch die Frage, darf ich meinem Steuerbüro überhaupt die Daten geben ohne das vorher auch wieder explizit zu deklarieren?

          Wenn "betriebsübliche Nutzung" deklariert wurde, dürfen relevante Daten selbstverständlich an geeignete Handlungsgehilfen und/oder Rechtsvertreter weitergereicht werden.

          Dies aber auch immer nur mit der Maßgabe der Verschwiegenheit und der "Rückgabe" nach erfolgter Verarbeitung. Das bedeutet, dass von manchen Bearbeitern keine Kopien der gelieferten Grunddaten angelegt werden dürfen und diese eben nach Fertigstellng der Bearbeitung dort vernichtet werden müssen. Man darf bestenfalls unter einem Anonymisierungsschlüssel das Ergebnis speichern, wenn dieses Relevanz für weitere Verarbeitungsschritte hat (Statistikdaten, Gentests, usw. ). Das war aber früher schon so, dass die Personalabteilung kaum Daten an die Fertigungsplanung geben durfte und der Betriebsarzt nicht an die Geschäftsleitung usw. Daran gehalten hat sich wohl kaum einer. Darüber gibt es ein recht ausschweifendes Buch "Macht und wie man mit ihr umgeht", das man inzwischen für weniger als 2 Euro erwerben kann. Er beleuchtet darin besonders den interdivisionären und interpartitionären Datentransfer durch "Beischlafgespräche" ;-)

          Mir kommt das Ganze inzwischen so vor, als hätte ich das mit den Datensicherheitsplänen der Bundeswehr vor 40 Jahren schon mal verinnerlichen müssen. Da saß ich im Büro und musste diverse Planungen erarbeiten, ohne dafür aber die notwendigen Daten benutzen zu dürfen :-O

          Liebe Grüße
          Tom S.

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
      2. Hallo TS,

        Die DSVGO wird meiner Einschätzung nach wieder nur die Kleinen killen, die Großen machen weiterhin was sie wollen und haben damit erreicht, was sie wollten: die "Liquidierung" ihrer nachwachsenden Konkurrenten und den nächsten Schritt zur "Weltherrschaft".

        Hast mich aber dennoch neugierig gemacht, wie die "Großen" aktuell damit umgehen. Ist schon interessant bei Google zu sehen. Da läuft von vornerein schon mal nichts mit Opt-in, der User muss sich also erst mal mühselig durch deren Einstellungen klicken, welche standardmäßig so ziemlich alles tracken. Hat der User dann seine Punkte gefunden und will bspw. personalisierte Werbung verhindern, holt Google den nächsten Joker raus…

        … dass sich diese nämlich nicht mehr ausblenden lässt, was aber oft nötig ist um überdeckte Artikel lesen zu können. Also irgendwie eine Art Nötigung, weil technisch wäre es ja auch das gleiche.

        Dann die "beliebten" Analytics…

        suggeriert Google hier, dass es nur mit deren Add-On zu deaktivieren geht(dabei wäre das natürlich auch leicht über ein Cookie klarzustellen) ohne zu erwähnen, dass es ja auch anderes gibt. Nur um das nochmal festzuhalten, will ich mehr Datenschutz soll ich gemäß deren DSGVO mir ein Tool runterladen von dem Anbieter, der gierig alles von mir wissen will? Geht's noch.

        Dann noch ein wichtiger Punkt(einer warum ich Google eigentlich nicht nutze), jedes Suchergebnis führt nicht direkt zur Seite, sondern durchläuft erst unsinnigerweise(aus Usersicht natürlich) nochmals die Googleserver und dann erst weitergeleitet zu werden. Kein Wort dazu in deren DSGVO.

        Und gibt noch viele Punkte…

        Worauf ich aber hinaus will ist, dass wenn das nicht Google wäre mit deren juristischen Megaapparat dahinter, würde ich sagen, die erfüllen nicht mal annähernd die DSGVO, aber die werden es natürlich wesentlich besser wissen als ich und auch, dass die EU sicher kein Problem hat auch so ein Imperium zu verklagen. Daher… merkwürdig.

        Gruss
        Henry

        1. Hello,

          [...]

          … dass sich diese nämlich nicht mehr ausblenden lässt, was aber oft nötig ist um überdeckte Artikel lesen zu können. Also irgendwie eine Art Nötigung, weil technisch wäre es ja auch das gleiche.

          Das erlebe ich derzeit bei Xing. Da bin ich letztes Jahr mal "Pro-Mitglied" geworden. War schon länger "nur mitmachen-Mitglied".

          Die schicken immer Links zu Presseartikeln. Da ich aber meinen ABP oder andere vergleichbare eingechaltet habe, konnte ich die Artikel nicht lesen. Ich wurde quasi immer genötigt, die Track-Blocker auszuschalten, was ich nur selten auf seperaten Systemen tue. Das DNT-Flag haben sie ohnehin nicht berücksichtigt.

          In den letzten Tagen kann ich die verlinkten Artikel lesen, was ich persönlich für richtig empfinde, denn schließlich zahle ich bei Xing einen Beitrag! Dass die sich zusätzlich finanzieren, indem sie meine Klicks an die Verlage, Google, usw. weitergeben und dadurch mMn total unpassende Werbung ermöglichen, hatte ich ursprünglich nicht vereinbart.

          Liebe Grüße
          Tom S.

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
        2. Hallo Henry,

          nur zur Info: es sind bereits mehrere Beschwerden anhängig zu Google und Facebook, teilweise auch aus den Gründen, die du hier aufführst.

          LG,
          CK

  2. Hallo Matthias,

    Vielen Dank an Karl Heinz für seinen interessanten Artikel!

    ebenso, vielen Dank an Karl Heinz.

    Eine Frage hätte ich in dem Zusammenhang. Die IP-Anonymisierung(8Bit), betrifft die nur Tracking-Tools oder allgemein? Erstaunlich wenig Verständliches dazu im Netz zu finden.

    *Nachtrag. Dachte mir gerade ist ja Quatsch das hier zu fragen, macht mehr Sinn im Blog. Habe ich jetzt gemacht. Dauert aber wahrscheinlich wegen Freischaltung? Schade dass die Kommentarfunktion nicht irgendwie mit dem Forum hier gekoppelt ist.

    Gruss
    Henry

    1. Servus!

      Hallo Matthias,

      Vielen Dank an Karl Heinz für seinen interessanten Artikel!

      ebenso, vielen Dank an Karl Heinz.

      Eine Frage hätte ich in dem Zusammenhang. Die IP-Anonymisierung(8Bit), betrifft die nur Tracking-Tools oder allgemein? Erstaunlich wenig Verständliches dazu im Netz zu finden.

      *Nachtrag. Dachte mir gerade ist ja Quatsch das hier zu fragen, macht mehr Sinn im Blog. Habe ich jetzt gemacht. Dauert aber wahrscheinlich wegen Freischaltung? Schade dass die Kommentarfunktion nicht irgendwie mit dem Forum hier gekoppelt ist.

      Ich schalte das gleich frei. Karl Heinz ist jetzt aber, wie er im oben verlinkten Posting schrieb, für 3 Wochen in Urlaub. Er wollte den Artikel vorher noch fertig kriegen.

      Herzliche Grüße

      Matthias Scharwies

      --
      Es gibt viel zu tun: ToDo-Liste
    2. @@Henry,

      *Nachtrag. Dachte mir gerade ist ja Quatsch das hier zu fragen, macht mehr Sinn im Blog. Habe ich jetzt gemacht. Dauert aber wahrscheinlich wegen Freischaltung? Schade dass die Kommentarfunktion nicht irgendwie mit dem Forum hier gekoppelt ist.

      Ich habe dem Henri mit "i" im Blog geantwortet :-).

  3. Hallo Matthias,

    gerade sah ich wie die WZ das umsetzt und muss sagen, die geben sich echt Mühe. Da sieht man dann auch mal wie aufwendig und pflegebedürftig das Ganze ist. Die scheuen sich auch nicht dem Besucher unmissverständlich und unverblümt zu sagen, wie und was mit seinen Daten geschieht. Übrigens, was sind pseudonyme (Analysetechniken/Irgendwas)? Gibt's den Begriff in so einem Zusammenhang überhaupt oder hat da einer zu tief ins Glas geschaut?

    Mal von dieser offenen Art abgesehen, geht's dann erst richtig los, da gibt's die Details mit mehreren Reitern und natürlich, last but not least, die Datenschutzhinweise.

    Wenn man sich das nur oberflächlich anschaut, ist das schon ein Berg, wenn man aber die Feinheiten und Details sieht, erkennt man wie viel Arbeit da drin steckt und warum das kaum eine kleine Webagentur für ihre Kunden zufriedenstellend anbieten könnte. Ich dachte schon zuerst, die haben einfach mal alles reingepackt was geht, auch wenn sie es nicht nutzen (so wie meine Frage zuletzt), aber von wegen, die nutzen diesen Kram wirklich komplett.

    Natürlich hat auch dieses Musterbeispiel seine humoristischen Seiten, zb. wie viel Wert man auf den Schutz der Daten legt, auch wenn man vorher sagt wie viele gierige Mitwisser hier bedient werden sollen. Aber das sind ja natürlich die berechtigten und die klammert man dann auch richtigerweise aus.

    Ganz besonders amüsant fand ich dies. Ich habe jetzt gerade(und bin schon schnell bei so was) bestimmt 20min. darüber gehangen, jetzt sollen normale Leser sich dies jedes Mal aufs Neue antun, wenn sie die Seite erneut besuchen, ernsthaft? rofl 😉

    Quelle: wz.de

    Alles in allem, muss ich sagen, bisher die m.M.n. beste(gesetzestreue) DSGVO-Umsetzung einer bekannteren Seite, die einem(zumindest mir) aber auch wieder zeigt, dass diese Pflicht so in dieser Form nicht der richtige Weg sein kann.

    Gruss
    Henry

    1. Servus!

      Hallo Matthias,

      gerade sah ich wie die WZ das umsetzt und muss sagen, die geben sich echt Mühe. Da sieht man dann auch mal wie aufwendig und pflegebedürftig das Ganze ist.

      Cookies - Screenshot der WZ

      Habe im morgendlichen Tran den linken Button gar nicht gesehen - ist aber wohl so gewollt.

      Was mir hier auffällt. Als ich im April 2016 die Cookies-Artikel überarbeite, sagte mir @Matthias Apsel, dass die gar nicht mehr verwendet würden und man heute localStorage nähme, da sie ja bis zu 5MB umfassen können.

      Und jetzt verwendet diese Zeitung 35 für Statistiken und 376 für Marketing??? Wahnsinn, was einem jetzt erst bewusst wird. Kein Wunder, dass das Internet und mein Computer so langsam sind.

      Übrigens, was sind pseudonyme (Analysetechniken/Irgendwas)? Gibt's den Begriff in so einem Zusammenhang überhaupt oder hat da einer zu tief ins Glas geschaut?

      Laut Duden ist das imho nicht passend verwendet. Da würde ich lieber anonym oder inkognito verwenden - passt aber auch alles nicht so.

      Herzliche Grüße

      Matthias Scharwies

      --
      Es gibt viel zu tun: ToDo-Liste
      1. Hallo Matthias Scharwies,

        Was mir hier auffällt. Als ich im April 2016 die Cookies-Artikel überarbeite, sagte mir @Matthias Apsel, dass die gar nicht mehr verwendet würden und man heute localStorage nähme, da sie ja bis zu 5MB umfassen können.

        Und jetzt verwendet diese Zeitung 35 für Statistiken und 376 für Marketing??? Wahnsinn, was einem jetzt erst bewusst wird. Kein Wunder, dass das Internet und mein Computer so langsam sind.

        Tja, im LocalStorage lässt sich eben nicht schnüffeln.

        Bis demnächst
        Matthias

        --
        Rosen sind rot.
    2. Hallo Henry,

      Übrigens, was sind pseudonyme (Analysetechniken/Irgendwas)? Gibt's den Begriff in so einem Zusammenhang überhaupt oder hat da einer zu tief ins Glas geschaut?

      Heißt im Prinzip wohl, dass die Analyse der Aufrufe (um die geht es vermutlich) pseudonym geschieht, also nicht bekannt ist, wer genau die Aufrufe verursacht hat. Ich schließe daraus, dass sie die IP-Adresse nicht speichern.

      Mal von dieser offenen Art abgesehen, geht's dann erst richtig los, da gibt's die Details mit mehreren Reitern und natürlich, last but not least, die Datenschutzhinweise.

      Wenn man sich das nur oberflächlich anschaut, ist das schon ein Berg, wenn man aber die Feinheiten und Details sieht, erkennt man wie viel Arbeit da drin steckt und warum das kaum eine kleine Webagentur für ihre Kunden zufriedenstellend anbieten könnte.

      Das muss bei solchen doch recht großen, Daten-verarbeitenden Betrieben schon ein Jurist machen. Wahrscheinlich brauchen die sogar einen Datenschutzbeauftragten.

      Aber wer viel mit Personenbezogenen Daten zu tun hat, muss das auch dokumentieren. Ich finde das ok. Dann können alle beteiligten mal darüber nachdenken, ob das auch sinnvoll ist.

      Ganz besonders amüsant fand ich dies. Ich habe jetzt gerade(und bin schon schnell bei so was) bestimmt 20min. darüber gehangen, jetzt sollen normale Leser sich dies jedes Mal aufs Neue antun, wenn sie die Seite erneut besuchen, ernsthaft? rofl 😉

      Wie denn sonst? Via RSS-Feed oder gar diff? Unter der Erklärung steht immerhin der Stand des Textes, wenn auch nur Monat und Jahr.

      Alles in allem, muss ich sagen, bisher die m.M.n. beste(gesetzestreue) DSGVO-Umsetzung einer bekannteren Seite, die einem(zumindest mir) aber auch wieder zeigt, dass diese Pflicht so in dieser Form nicht der richtige Weg sein kann.

      Du beurteilst nur die ersten Umsetzungen. Richtig interessant wird es erst, wenn es die höchst-richterlichen Urteile gibt. Dann sieht man, ob die DSGVO bloß ein Papiertieger ist oder auch dem Daten- und Privatsphärenschutz dient sowie zu umfassenden, kurzen und verständlichen Datenschutzerklärungen ohne große Floskeln führt.

      Gruß
      Julius

      1. Hallo

        Mal von dieser offenen Art abgesehen, geht's dann erst richtig los, da gibt's die Details mit mehreren Reitern und natürlich, last but not least, die Datenschutzhinweise.

        Wenn man sich das nur oberflächlich anschaut, ist das schon ein Berg, wenn man aber die Feinheiten und Details sieht, erkennt man wie viel Arbeit da drin steckt und warum das kaum eine kleine Webagentur für ihre Kunden zufriedenstellend anbieten könnte.

        Das muss bei solchen doch recht großen, Daten-verarbeitenden Betrieben schon ein Jurist machen. Wahrscheinlich brauchen die sogar einen Datenschutzbeauftragten.

        Wahrscheinlich hatten solche Firmen schon vor der DSGVO einen Datenschutzbeauftragten benötigt und hatten ihn auch. Wer sich schon zu Zeiten des BDSG (Bundesdatenschutzgesetz) an selbiges gehalten hat musste mit Einführung der DSGVO vor zwei Jahren nicht allzu viel ändern und wer nicht erst auf den letzten Drücker mit den Anpassungen begonnen hat, hat sich, im Gegensatz zu den ganzen Aufgeschreckten, zurücklehnen können.

        Aber wer viel mit Personenbezogenen Daten zu tun hat, muss das auch dokumentieren. Ich finde das ok. Dann können alle beteiligten mal darüber nachdenken, ob das auch sinnvoll ist.

        Korrekt. Dass sich viele Sammler von persönlichen Daten (inklusive Websitebetreiber) bisher eben keine Gedanken darüber gemacht haben, obwohl sie das per Gesetz auch vor der DSGVO hätten machen müssen, ist keine Entschuldigung. Jetzt tun es viele, mit durchaus positiven Nebeneffekten, wie auch Henry schon bemerkte. 😉

        Ganz besonders amüsant fand ich dies. Ich habe jetzt gerade(und bin schon schnell bei so was) bestimmt 20min. darüber gehangen, jetzt sollen normale Leser sich dies jedes Mal aufs Neue antun, wenn sie die Seite erneut besuchen, ernsthaft? rofl 😉

        Wie denn sonst? Via RSS-Feed oder gar diff? Unter der Erklärung steht immerhin der Stand des Textes, wenn auch nur Monat und Jahr.

        Wie das wohl bisher bei Änderungen an Benutzungsbedingungen oder AGB gehandhabt wurde …? Und was nun an einer Datenschutzerklärung in dieser Hinsicht grundsätzlich so anders ist …?

        Alles in allem, muss ich sagen, bisher die m.M.n. beste(gesetzestreue) DSGVO-Umsetzung einer bekannteren Seite, die einem(zumindest mir) aber auch wieder zeigt, dass diese Pflicht so in dieser Form nicht der richtige Weg sein kann.

        Du beurteilst nur die ersten Umsetzungen. Richtig interessant wird es erst, wenn es die höchst-richterlichen Urteile gibt.

        Bis zu höchstrichterlichen Entscheidungen kann es aber noch einige Jahre dauern. Selbst Urteile unterer Instanzen werden mMn schon Tendenzen erkennen lassen.

        Dann sieht man, ob die DSGVO … zu umfassenden, kurzen und verständlichen Datenschutzerklärungen ohne große Floskeln führt.

        In der DSGVO selbst werden die Datenschutzerklärungen ja in einer solchen Form gefordert (einfache und verständliche Sprache). Was ich auf Webseiten aktuell so sehe, entspricht dieser Anforderung leider meist nicht. Eigentlich ist man in Bezug auf diese Forderung als Laie und von der Juristerei Unbeleckter am besten dran, weil man ja üblicherweise selbst nur mit einer einfachen Sprache beschreiben kann, was man auf seiner Webseite so tut beziehungsweise tun lässt. Leider wird dieser Vorteil oft von der eigenen Unkenntnis mehr als aufgebraucht.

        Irgendeinen fremden Dienst in seine eigene Seite einzubinden geht schnell. Sich über die Implikationen für sich selbst und seine Besucher zu informieren bedeutet hingegen Arbeit. Nicht viele haben sich diese bisher gemacht. 😟 Nun müssen sie und das ist gut so.

        Tschö, Auge

        --
        Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
        Kleine freie Männer von Terry Pratchett